¿Cómo se puede detectar un escaneo TCP SYN / ACK en un firewall de inspección de paquetes con estado?

Si su firewall está examinando todos y cada uno de los paquetes que se le envían, entonces un “escaneo” de sus hosts o redes sería una serie de paquetes TCP_SYN con diferentes números de puertos de destino de un solo host, o una única red de máscara de red pequeña, dentro de un “pequeña” cantidad de tiempo.

Esto plantea algunas interesantes preguntas de seguimiento:

  • ¿Cuántos números de puerto diferentes constituyen un “escaneo”?
  • ¿Qué tan grande o pequeño período de tiempo deben agruparse estos paquetes para ser un “escaneo”?
  • ¿Qué tan grande o pequeño debe agruparse un número de direcciones IP remotas distintas para constituir un “escaneo”?

“Lo sé cuando lo veo” es un poco difícil de traducir al código del programa.

Tenga en cuenta que el escaneo, aunque posiblemente sea el preludio de un ataque, no es en sí mismo un acto hostil, ya que es muy difícil distinguir entre:

  • un paquete cuyo propósito es configurar una conexión TCP real a un servicio o demonio en uno de sus hosts, y
  • un paquete que se envía para determinar qué servicios ofrecen sus hosts.

Si responde de una manera que no sea completamente pasiva (por ejemplo, enviando un paquete de respuesta / defensa, o cualquier otra cosa que no sea un paquete ICMP “puerto inalcanzable” o TCP SYN_ACK), es posible que responda a una indicación falsamente positiva de un “escaneo” cuando haya no es uno, y posteriormente tener que explicarte a un compañero amigable.

Además, tenga en cuenta que existen mitigaciones contra los criterios de la política del detector de escaneo: use más hosts, extienda las sondas a tiempo, etc.

Related Content

¿Cómo funcionan juntos la capa de enlace de datos y la capa de red para intercambiar mensajes?

¿Qué es la tecnología de red de transporte de paquetes?

¿Qué no se usa para transferir un archivo: SMTP, FTP, TCP o POP?

¿Cuál es el mejor ocultador de IP?

¿Qué son las pérdidas de paquetes en las redes?

Un escaneo SYN verifica qué puertos aceptan conexiones. En su encarnación más simple, intenta conectarse al puerto 0, luego al puerto 1, y así sucesivamente hasta 65536, el puerto más alto.

Probablemente no responde a ningún puerto abierto que responda con un SYN / ACK.

Entonces, una forma de detectar un escaneo es buscar solicitudes de conexión entrantes, puertos cerrados, tal vez todos provenientes de la misma dirección IP, y cuando llegan a un puerto abierto no responden al SYN / ACK. O si responden, no envían ningún dato.

Un escáner realmente inteligente podría intentar evitar estas pruebas, accediendo a los puertos en un orden aleatorio o con un rango falso de direcciones IP, o podrían responder a SYN / ACK para aparecer como un conector válido, o incluso podrían enviar algunos datos válidos, como “GET /”.

Dado que hay tantos puertos para escanear, probablemente harán muchos intentos por segundo, por lo que otra forma sería contar la tasa promedio de conexiones entrantes, y si la tasa aumenta a más del doble de la tasa promedio , o si todas las solicitudes provienen de una dirección IP o, en su mayoría, de la misma subred, es probable que se trate de un escaneo de puertos.

Un escáner de puerto inteligente real escanearía muchas direcciones IP diferentes a la vez, con pausas aleatorias y con números de puerto aleatorios y números de secuencia aleatorios. Sería más difícil de detectar si los intentos de conexión se produjeron en segundos. Aún así, no hay ninguna razón para que alguien se conecte a otros puertos que no sean “conocidos”, por lo que puede filtrar eso. Cualquiera que inicie una conexión a cualquier puerto por encima de 1024, probablemente sea un escaneo de puertos allí mismo.

William Emmanuel Yu

Un escaneo SYN / ACK sería fácil: solo busque paquetes con el conjunto SYN / ACK que provengan de pares de host y puerto con los que no inició una conexión. Lo mismo para la exploración ACK: si no envió un SYN / ACK, no debe esperar un ACK. Los firewalls sin estado pueden pensar que estos provienen de una conexión ya existente y dejarlos entrar (para que el servidor los instale RST en su interior, pero esto aún le brinda información valiosa).

Vladislav Zorov

Si ve una gran cantidad de SYN sin sus objetivos enviando una respuesta correspondiente. Esta alta tasa de falla es una posible señal de un escaneo.

El resto mira la respuesta de Erik Fair a ¿Cómo se puede detectar un escaneo TCP SYN / ACK en un firewall de inspección de paquetes con estado ?.

Vladislav Zorov

El firewall SPI mantiene los estados de conexión de todas las conexiones TCP que lo atraviesan. Un simple monitor de paquetes en el firewall debe revelar todo el proceso TCP.

William Emmanuel Yu

More Interesting

¿Cómo aprendo habilidades de redes informáticas como TCP / IP e IDS / IPS? Tengo un enrutador y un módem. ¿Qué tipo de proyecto / ejercicio puedo hacer con ellos?

¿Por qué es rápido descargar un archivo grande, mientras que descargar muchos archivos pequeños de diferentes fuentes es mucho más lento?

Cómo obtener la dirección IP de un correo electrónico

¿Cómo mide el proveedor de servicios de Internet nuestro uso de Internet?

¿Necesito una IP compartida o una IP dedicada para mi email marketing?

¿Cuáles son las funciones de 7 capas del modelo de referencia OSI?

¿Cómo funciona realmente Port no en TCP?

¿Qué es la pérdida de paquetes y cómo puede solucionarlo?

Mientras se enruta en el rastreador de paquetes de Cisco, ¿por qué el paquete no se transfiere por primera vez?

¿Se puede usar async / await en C # para programar un servidor TCP? Dado que en realidad no están creando un nuevo hilo, ¿el servidor colapsará bajo demasiados clientes?

Cómo hackear una computadora a través de una IP pública, cómo seleccionar una computadora especial de la red

¿Qué se puede hacer sobre la naturaleza poco confiable de TCP?

¿Puede ser arrestado solo por su dirección IP?

¿Cómo clasifica el comando Netstat las conexiones entrantes y salientes?

¿En qué circunstancias implementaremos TCP usando UDP en lugar de usar TCP directamente?